«Утиная охота» прошла удачно. Агенты ФБР нейтрализовали сеть ботнета Qakbot

Федеральные следователи уничтожили преступную сеть программ-вымогателей, которая, за время своего существования нанесла многомиллионный ущерб, объявило Министерство юстиции США.

ФБР и европейские партнёры взломали ботнет Qakbot. Эта группа компьютеров, заражённых вредоносной программой, которая использовалась для проведения кибератак. Сейчас специалисты работают над отключением программы на тысячах компьютеров-жертв, сообщили представители спецслужб, сообщает CBS News.

Получившая название «Операция "Утиная охота"» попытка уничтожить систему ботнета также привела к изъятию 8,6 млн долларов в криптовалюте. Эти средства были собраны в ходе преступных кампаний по вымогательству.

По данным Министерства юстиции США, общее число жертв Qakbot составило 700 тыс. человек, из них около 200 тыс. проживают в США. Жертвами хакеров стали правительственные учреждения, компании малого и среднего бизнеса, поставщики медицинских услуг и стратегические предприятия. Представители правоохранительных органов заявили, что они всё ещё пытаются определить, какое количество из всех ранее заражённых компьютеров освобождено от контроля Qakbot.

Следователи утверждают, что Qakbot, также известный как Qbot и Pinkslipbot, активен с 2008 года и изначально действовал как банковский троян. Qakbot стал начальной точкой входа для многих ransomware, включая Conti, ProLock, Egregor, REvil, MegaCortex и Black Basta. По словам официальных лиц, эти преступные группировки, вероятно, пострадали в результате недавней операции ФБР.

Ботнет использовался хакерами по всему миру для удержания компьютерных систем в заложниках до момента получения выкупа. Qakbot получал доступ к устройствам через спам-письма, содержащие вредоносные ссылки, встроенные в сообщения. Такие ботнеты незаметно захватывают контроль над компьютером и скоординировано работают для совершения предполагаемых преступлений, заявили следователи.

По словам высокопоставленных чиновников ФБР и Министерства юстиции, в рамках операции «Утиная охота» ФБР получило доступ к инфраструктуре Qakbot и «перенаправило» киберактивность на серверы, контролируемые американскими следователями. Специалисты смогли внедрить вредоносное ПО с помощью программы, которая вывела компьютер жертвы из ботнета, освободив его от вредоносного хоста.

Операция была успешной благодаря тесному партнерству со следователями из Франции, Германии, Нидерландов, Великобритании, Румынии и Латвии. В результате международного расследования никто не был арестован, но были изъяты 52 сервера. Полиция Нидерландов, где было захвачены 22 сервера, нашла на них 7,6 млрд учётных данных. Компьютерные серверы также были отключены от сети во Франции (6) и Германии (8). Расследование продолжается.

Представители правоохранительных органов подчёркивают, что помимо коммерческих убытков, связанных с киберкампаниями Qakbot, на карту были поставлены национальные интересы многих стран, поскольку группы вымогателей нацеливались на больницы и критически важные объекты инфраструктуры, которые жизненно важны для национальной безопасности.

Методы уничтожения Qakbot представляют собой новый подход, который пыталось внедрить правительство: не только разрушать преступные сети, но и вооружать жертв инструментами, необходимыми для противодействия атаке вредоносного ПО, отметили в ФБР. Инструмент удаления был одобрен судьёй с многочисленными оговорками — только для удаления вредоносного ПО с заражённых устройств.

Спецслужбы Голландии считают тесное сотрудничество специалистов предпосылкой успеха в борьбе с киберпреступностью. К расследованию дела в Нидерландах привлечены Национальная прокуратура и группа Национального отдела по борьбе с преступлениями в сфере высоких технологий, государственные и частные компании, в том числе Fox-IT, Northwave, Национальный центр кибербезопасности и NFIR.

30 августа, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.07.2025
«Национальный мессенджер» закрыл первый миллион
30.06.2025
Всё связать до 1 июля: «симку», биометрию, «Госуслуги»
30.06.2025
Нейросетям поставили задачу усовершенствовать бюджетный процесс
30.06.2025
Draugnet послужит демократизации отчётности по киберугрозам
30.06.2025
Россиян превращают в дропперов особо изощрённым способом
30.06.2025
Банк России сдал нулевой срез по цифровому рублю
30.06.2025
Половина безопасников хочет приостановить развёртывание GenAI
27.06.2025
«Корыстные цели и низкий уровень правовой культуры». Телеком-лицензии — только в чистые руки
27.06.2025
США опасаются усиления иранских кибератак после авиаударов
27.06.2025
«Можно было бы просто запретить импорт отдельных сегментов». «Аквариус» — о вечном

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных